Note: forwarded message attached.
__________________________________
Do you Yahoo!?
Meet the all-new My Yahoo! - Try it today!
http://my.yahoo.com
------------------------ Yahoo! Groups Sponsor --------------------~-->
Make a clean sweep of pop-up ads. Yahoo! Companion Toolbar.
Now with Pop-Up Blocker. Get it for free!
http://us.click.yahoo.com/L5YrjA/eSIIAA/yQLSAA/vbOolB/TM
--------------------------------------------------------------------~->
JALESVEVA YAYAMAHE
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/pelaut/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
--- Begin Message ---W32/[EMAIL PROTECTED] 18 November 2004
Habis MyDoom terbitlah Bofra
Tidak mau kalah, begitulah kira-kira perilaku pembuat virus. Setelah melihat Bagle.AQ sukses menyebarkan dirinya, pembuat MyDoom kembali menyebarkan variannya, tidak tanggung-tanggung dalam waktu 4 hari dari tanggal 8 November sampai dengan 12 November 2004, 5 buah varian dilemparkan ke internet. Menilik banyaknya varian yang disebarkan sampai hari ini dimana jika diteruskan sudah mencapai varian MyDoom.AK, dan karena ada perbedaan mendasar antara varian MyDoom yang terakhir beredar dengan varian sebelumnya maka para vendor antivirus sepakat mengganti varian MyDoom tersebut dengan nama baru W32/[EMAIL PROTECTED] Hal yang perlu diperhatikan dari aksi ke lima varian Bofra tersebut adalah aksinya membuka port 1640 sehingga mengakibatkan backdoor dan kemampuannya mengeksploitasi celah keamanan IFrame pada Internet Explorer 6 pada Windows XP (SP1) dan Windows 2000 dimana email yang mengandung Bofra ini akan sulit dihentikan oleh mailserver karena tidak ada lampiran bervirus yang disertakan pada email dan hanya linknya saja.
Detail Email
Email yang mengandung Bofra akan datang dalam bentuk :
From / Dari :
Alamat email pengirim dipalsukan
Subject / Subjek :
hello!
hey!
blank
random characters
Confirmation
Hi!Body / Isi :
Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!
Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
Congratulations! PayPal has successfully charged $175 to your credit
card. Your order tracking number is A866DEC0, and your item will be shipped
within three business days.
To see details please click this link.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by
an automated message system and the reply will not be received.
Thank you for using PayPal.Selain itu, sebagai usaha untuk mengelabui antivirus pada mailserver pada "header email" secara otomatis akan ditambahkan salah satu string dibawah ini :
X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software
X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Bofra menggunakan SMTP server sendiri dalam menyebarkan dirinya sehingga akan pemblokiran pada port smtp mailserver tidak akan mampu menghalangi penyebarannya.
Menyebarkan diri melalui website dan IRC
Seperti yang kami utarakan di atas, Bofra yang datang dalam email tidak akan mengandung lampiran bervirus, tetapi hanya datang dalam bentuk email HTML (HyperText Markup Language) yang berisi link ke IP komputer yang mengandung file bervirus dengan nama reactor. Adapun link tersebut akan berisi IP dengan ocntoh sebagai berikut : http://xxx.xxx.xxx.xxx:1639/reactor.
Jika penerima email mengikuti link tersebut dan mengunjungi website dengan Internet Explorer 6 yang rentan, maka secara otomatis komputer akan secara otomatis langsung mendownload file yang mengandung virus pada website dan menjalankan virus tersebut tanpa perlu melakukan klik apapun.
Ada beberapa alternatif untuk menghindari hal ini (lakukan salah satu) :
Patch komputer anda, untuk pengguna IE 6.0 yang menggunakan windows XP harus menginstal SP (service pack) 2.
Nonaktifkan Active Scripting pada Internet Explorer.
Set view email pada "plaintext", jangan HTML.
Update program antivirus anda.
Selain itu, Bofra akan berusaha menyebarkan dirinya melalui IRC (Internet Relay Chat) dengan mengirimkan dirinya secara otomatis sebagai file eksekutable melalui server-server IRC melalui port 6667 sebagai berikut :
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.orgkarena itulah, kami sarankan anda yang senang chatting menggunakan IRC untuk tidak sembarangan menerima file dan menjalankannya.
Perbedaan Bofra A-E
Jika anda penasaran, apa yang membedakan Bofra.A dengan Bofra.B dst, pada prinsipnya karena masuk dalam keluarga Bofra, mereka memiliki payload yang mirip dan suorcecode yang sama. Hanya pada beberapa aksinya mereka berbeda misalnya Bofra.A tidak membuka port dan hanya menyebarkan dirinya melalui email, sedangkan Bofra.B mulai membuka celah keamanan pada port 1640. Bofra.C akan berusaha menginjeksikan kode dirinya ke dalam proses "explorer.exe" pada sistem komputer sehingga sulit dibasmi. Semua Bofra akan menonaktifkan dirinya pada tanggal 16 Desember 2004.
Selain itu, satu hal yang perlu diwaspadai pada Bofra adalah kemampuannya mengupdate dirinya sendiri, meniru antivirus.
Penyebaran Bofra
Penyebaran Bofra di Indonesia sampai hari ini 18 November 2004 masuk kategori resiko rendah, namun melihat beberapa fakta :
Penyebarannya yang membutuhkan interfensi "tidak langsung" dari pihak ketiga (penerima email) untuk mengklik link yang mengandung virus.
Email yang mengandung link tersebut tidak dapat diblok oleh mailserver (karena memang tidak mengandung virus).
diperkirakan kemungkinan besar email yang mengandung link Bofra sudah "ngendon" di mailbox para pengguna internet Indonesia namun karena adanya libur panjang maka email belum dicek dan diperkirakan tingkat infeksi setelah libur Lebaran akan meningkat cukup signifikan. Karena itu Vaksincom memberikan peringatan kepada para pengguna internet Indonesia berhati-hatilah kalau menerima email HTML yang mengandung link, jangan langsung diklik.
Alfons Tanujaya (AAT)
PT. Vaksincom
Gedung Rifa lt. IV
Prof. Dr. Satrio blok C4 / 6-7
Jakarta 12950
Telp : 62-21-526 -787 / 752
Email : [EMAIL PROTECTED]
Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya apapun.
Silahkan email ke [EMAIL PROTECTED] untuk mendapatkan informasi detail layanan PT. Vaksincom.
--- End Message ---
